inline hook的原理及实现

最新推荐文章于 2023-06-16 19:49:24 发布
最新推荐文章于 2023-06-16 19:49:24 发布
阅读量8.2k 收藏 16
点赞数 5
分类专栏: 修改器编写 文章标签: inline hook C语言 C++ 内存 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Qiu233/article/details/52134403
版权
网上没有找到多少关于inline hook的文章,感觉这方面资料不是很完整,所以决定自己写一份存档,重点讲述inline hook的实现。

inline hook的核心思想是:通过替换目标函数头部指令实现在函数执行之前跳转到其他的指令区域,执行完毕跳转回到原来的函数,跳转到的指令区域通常是我们自己编写的函数。inline hook技术对于编写外挂和外挂式补丁意义重大。

步骤:

1.使用VirtualAllocEx函数在目标进程创建一块内存区域,用于保存我们将要执行的指令。

VirtualAllocEx申请指令空间的一般用法如下:VirtualAllocEx(hProcess, NULL,len, MEM_COMMIT, PAGE_EXECUTE);

2.使用WriteProcessMemory函数将指令写入步骤一申请的内存区域。例如:WriteProcessMemory(hProcess,(void*)addr,(void*)val,len,NULL);

3.在目标函数头部替换指令,保存原来的指令,并且获取下一个完整指令的地址。这里我们必须说明要损坏的指令长度,因为jmp指令占用5个字节,假设目标函数头部第一条指令长度不足5字节,那么就需要破坏第二条指令,下一条完整的指令就是第三条指令。反之如果目标函数头部第一条指令长度大于5字节,下一条完整的指令就是第二条指令。

4.等待函数执行完毕。

5.回复目标函数头部被损坏的指令,使用VirtualFreeEx清理申请的内存区域。

具体实现如下:

typedef struct
{
    byte* HOOK_CODE;//指令数组指针
    DWORD HOOK_CODE_LENGTH;//指令占的字节数
    void* HOOK_
最低0.47元/天 解锁文章
Qiu233
关注
专栏目录
详谈内核的Inline_Hook实现
11-08
Inline hook通俗的说就是对函数执行流程进行修改,达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inline 的时候做的很深,来躲避inline 的检测,前提是必须对函数的流程和指令非常熟悉,且这种深层次的inlline 不具有通用性,稳定性也是问题。本文讨论的是具有通用性的两类inline实现
Inline HOOK
Tandy12356_的博客
05-28 4342
本文主要介绍了如何使用Inline HOOK来替换不在IAT表当中的函数
inlinehook 看这一篇
01-09 3969
inlinehook 代码实战
inline hook原理和例子
weixin_44600099的博客
04-20 1381
inline hook原理和例子
Hook攻防之InlineHook
xf555er的博客
06-16 1811
Inline Hook,又称为超级Hook,是一种强大而又灵活的Hook技术。Inline Hook的主要思想就是直接修改目标函数的代码,通常是在目标函数的开头插入一个跳转指令(jmp)。这个跳转指令会将程序的执行流跳转到我们自定义的函数中。在我们的自定义函数中,我们可以执行任意的代码,然后再跳回目标函数的剩余部分。这样,我们就可以在不改变目标函数原有逻辑的基础上,添加自己的功能。
C++实现inline hook原理及应用实例
09-04
C++ Inline Hook原理Inline Hook是Windows编程中一种高级技术,主要用于监控或修改系统调用的行为。在C++实现inline hook,主要是通过在目标函数的内存空间中插入跳转指令,使得当函数被调用时,控制流会...
Inline Hook(ring3)的简单C++实现方法
09-04
首先,我们需要理解Inline Hook的基本原理Inline Hook通常涉及到以下步骤: 1. **找到目标函数的地址**:在这个例子中,我们的目标函数是`MessageBoxA`,这是用户模式下的一个API函数,用于弹出消息框。我们通过`...
使用内核三步实现InlineHook的详细分析
07-06
Inlinehook原理:解析函数开头的几条指令,把他们Copy到数组保存起来,然后用一个调用我们的函数的几条指令来替换,如果要执行原函数,则在我们函数处理完毕,再执行我们保存起来的开头几条指令,然后调回我们取...
inline Hook实现
最新发布
09-22
二、inline Hook实现原理 1. 替换目标函数:首先,我们需要找到目标函数的地址,然后将其替换为我们自定义的内联函数。这一步通常需要对内存进行操作,例如在Windows平台上,我们可以使用VirtualProtect函数改变...
Inline Hook
Android系统攻城狮
03-07 867
什么是Inline Hook Inline Hook即内部跳转Hook,通过替换函数开始处的指令为跳转指令,使得原函数跳转到自己的函数,通常还会保留原函数的调用接口。与GOT表Hook相比,Inline Hook具有更广泛的适用性,几乎可以Hook任何函数,不过其实现更为复杂,考虑的情况更多,并且无法对一些太短的函数Hook。 其基本原理请参阅网上其他资料。 需要解决的问题 Arm模式与T...
inline hook简介
xiaoqiangvs007的专栏
04-22 1260
inline hook简介 2011-07-24 19:49 1、简介          INLINE HOOK原理:         Inline Hook通过硬编码的方式向内核API的内存空间(通常是开始的一段字节,且一般在第一个call之前,这么做是为了防止堆栈混乱)写入跳转语句,这样,该API只要被调用,程序就会跳转到我们的函数中来,我们在自己写的函数里需要
InLineHook原理
qq_45806710的博客
11-03 1519
InLineHook原理: 通过硬编码的方式先内核API的内存空间写入跳转语句,当程序跳转到我们的程序时,需要执行3个步骤: 1,重新调整当前堆栈;需要保证内核API在执行完代码后返回我们的函数,就需要对当前的堆栈做调整; 2,执行遗失的指令;执行我们的代码时,可能会覆盖内核API的指令,需要在我们的代码空间将遗失的指令补回来; 3,信息过滤;根据返回结果做一些信息过滤,这些内容因被hook的API以及hook目的的不同而不同; InLineHook工作流程: 1.验证内核API的版本 2.撰写之间的函数,
Android Natvie Hook讲解、 got表hookinline hook 原理
spinchao的博客
12-06 5888
Android Natvie Hook 讲解什么是Hook,以及Android Native层 hook名词解释以及知识储备处理器架构欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 什么是
R0下Inline Hook模板
yxuenong的专栏
12-14 822
InlineHook 已导出函数 VOID   HookObReferenceObjectByHandle() {       KIRQL Irql;     KdPrint(("[ObReferenceObjectByHandle] :0x%x",ObReferenceObjectByHandle));  //地址验证     //保存函数前五个字节内容     Rtl
[驱动开发] 手写 r0 hook(NtOpenProcess 为例)
LYSM
11-09 1460
inlineHook原理: 为了方便好理解,一些变量名和函数名在这里使用中文命名,有些编译器不支持中文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT的结构 typedef struct _SYSTEM_SERVICE_TABLE { PLONG ServiceTableBase; PVOI
Inline Hook 之(监视任意函数)
热门推荐
masefee C/C++游戏编程
04-15 4万+
前面已经写过两次inline hook的博文了,第一篇为:《C/C++ HOOK API(原理深入剖析之-LoadLibraryA)》,这篇博文的方法是通过修改任意函数的前面N个字节,实现跳转并进入到我们自定义的hook函数里,执行完毕我们的hook函数之后,再直接调用被hook的函数。第一篇的方法没有考虑多线程的情况,所以在多线程环境下会有问题。第二篇为:《Inline HOOK API 改进版(hot-patching)》,这篇的初衷是为了解决多线程的问题,因为这种方式是一直hook的,直到程序结束。
C/C++:Windows编程—Inline Hook内联钩子(上)
重庆李四
06-10 4467
前言 先介绍下Windows中的Hook技术。Hook是Windows中提供的一种用以替换DOS下“中断”的系统机制,中文译为“挂钩”或“钩子”。在对特定的系统事件进行hook后,一旦发生已hook事件,对该事件进行hook的程序就会收到系统的通知,这时程序就能在第一时间对该事件做出响应。Windows中的Hook技术的方法较多,常见的有Inline Hook、IAT Hook、EAT Hook ...
驱动开发:内核层InlineHook挂钩函数
CSDN
10-31 9528
在上一章中,LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度,本章将在此基础之上实现内联函数挂钩,内核中的InlineHook函数挂钩其实与应用层一致,都是使用劫持执行流并跳转到我们自己的函数上来做处理,唯一的不同的是内核Hook只针对内核API函数,但由于其身处在最底层所以一旦被挂钩其整个应用层都将会受到影响,这就直接决定了在内核层挂钩的效果是应用层无法比拟的,对于安全从业者来说学会使用内核挂钩也是很重要。挂钩的原理可以总结为,通过得到原函数地址,然后保存该函数的前15。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值